¿Qué significa asegurar algo en la seguridad de la computadora? [cerrado]

Considera esto una descripción muy, muy, muy corta. La respuesta a su pregunta puede abarcar un conjunto completo de libros.

La seguridad se trata de la gestión de riesgos. Hacer algo seguro es reducir el riesgo. La reducción del riesgo va junto con la implementación de controles, ya que cada control puede tener un precio determinado y puede mitigar un cierto riesgo, al reducir la probabilidad de que una vulnerabilidad pueda tener un impacto negativo en sus activos. Los activos en este contexto pueden ser cualquier cosa que una compañía considere valiosa, esto incluye sistemas, aplicaciones, pero también personas, infraestructura, etc.

Tanto A como B son válidos, excepto que A probablemente dependería del costo. La seguridad cuesta dinero y no tiene sentido gastar grandes cantidades de dinero para asegurar un activo si la seguridad cuesta más de lo que vale el activo. Si el valor de un activo aumenta con el tiempo, puede tener sentido "hacerlo más seguro" con el tiempo gastando más en controles adicionales.

La gestión de riesgos es la clave para responder a esta pregunta engañosamente simple. Para que los datos (o un dispositivo) estén perfectamente seguros, uno tendría que borrar todo su conocimiento. Destruir los datos / dispositivos para hacerlos seguros hace que no estén disponibles, violando la tríada de la CIA citada por @SilverlightFox. Al utilizar el dispositivo de encriptación Enigma, los nazis lo hicieron vulnerable.

Mientras el futuro (y la vida) sea incierto, "lo más seguro posible" es una tarea sin fin e infructuosa. Por lo tanto, hacer algo más seguro es más una cuestión de asegurar algo. Sin embargo, eso plantea la pregunta: ¿cuánto más seguros deben ser los datos (dispositivo)? ¿Cuánto más esfuerzo e ingenio es apropiado para "asegurar el activo"?

Esto me recuerda la siguiente broma:

  

Dos hombres caminan por un bosque. De repente, ven un oso.   corriendo hacia ellos Se dan vuelta y comienzan a huir. Pero entonces uno   De ellos se detiene, saca unas zapatillas de su bolsa, y comienza.   poniendo el en           “¿Qué estás haciendo?” Dice el otro hombre. "¿Crees que correrás más rápido que el oso con esos?"           "No tengo que correr más rápido que el oso", dice. "Solo tengo que correr más rápido que tú".

Entonces, "cuánta seguridad es suficiente" depende del contexto. Es por eso que la mayoría de los hogares tienen cerraduras con llave y los bancos se toman la molestia de instalar bóvedas. El impacto de una brecha en el primero, aunque es bastante personal para el propietario, es probablemente menos costoso en total que el impacto en el banco. Gracias a las medidas que los bancos toman para proteger el contenido de sus bóvedas (acero, alarmas, guardas, etc.), los propietarios pagan a los bancos para que guarden sus objetos de valor en una caja de seguridad en lugar de replicar las medidas de seguridad del banco para sus hogares. La excepción que demuestra el punto es el propietario visiblemente rico que se niega a poner todos sus objetos de valor en la bóveda del banco. ¿De qué sirven las valiosas pinturas, esculturas y joyas si no puedes disfrutarlo?

Entonces, ¿cómo se decide cuánto esfuerzo o dinero gastado en seguridad es suficiente? Una herramienta es Esperanza de pérdida anualizada . En resumen, ALE es el costo (tangible e intangible) de una pérdida por la probabilidad de que ocurra un incidente en un año. Si el banco tiene $ 10,000 en la bóveda y hay un 10 por ciento de posibilidades de ser robado con éxito, el banco no debería más (o menos) que $ 1,000 para proteger la bóveda. Bruce Schneier señala que el cálculo se complica y confunde muy rápidamente.

Otro enfoque es el retorno de la inversión en seguridad (ROSI). Reflejando el principio comercial del retorno de la inversión, El costo de que ocurra algo malo se denomina exposición al riesgo. Una solución de seguridad mitiga ese riesgo en algún porcentaje. Al multiplicar la exposición por el porcentaje mitigado se obtiene el rendimiento esperado. Por lo tanto, ROSI se utiliza para identificar el gasto apropiado para asegurar un activo. Sin embargo, ROSI no está exenta de detractores, entre los que destacan Bruce Schneier .

Métricas de seguridad de Andrew Jauquith es otra lectura valiosa sobre el tema. Jaquith escribe en la página 33 "... los practicantes de ALE sufren de una incapacidad casi completa para estimar de manera confiable las probabilidades [de ocurrencia] o las pérdidas". Puede leer sus alternativas claras y convincentes a ALE y ROI.

Ambos son aplicables.

Asegurar algo significa reducir los riesgos asociados con la ejecución de dicha red, sistema o aplicación.

En seguridad de la información, los riesgos a menudo están en la tríada de la CIA: confidencialidad, integridad y disponibilidad. Por ejemplo, una aplicación puede tener una vulnerabilidad de seguridad que afecta la confidencialidad de los datos. Asegurar la aplicación contra este riesgo implicaría remediar la vulnerabilidad de la seguridad o eliminar la amenaza. Sin embargo, normalmente no es posible lograr esto último. Puede que no sea práctico hacer que esta vulnerabilidad sea "lo más segura posible", sin embargo, el riesgo se puede mitigar a un nivel que sea aceptable para la empresa, por lo que a menudo la acción que se toma es hacerlo "más seguro". p>     

La seguridad generalmente se refiere al uso compartido seguro, lo que significa técnicas de compartir cierta información solo con las personas con las que desea compartirla. Si no tiene nada que compartir, entonces es fácil estar seguro, pero no le dé a nadie información sobre usted. Sin embargo, ese enfoque es poco práctico, ya que vivir y hacer negocios requieren compartir cierta información: información financiera con socios comerciales, información médica con médicos, información de identificación con socios comerciales y el gobierno, información personal con amigos y familiares, etc.

Por lo general, cuando las personas hablan de una 'falta de seguridad' se refieren a una vulnerabilidad demostrada y, por lo general, a una vulnerabilidad grave. En cierto sentido, los piratas informáticos, los contras, los estafadores y los ladrones siempre están probando su seguridad, tanto electrónica como física. La mayoría de las veces, usted, sus computadoras y su vida están bien, no pierden información a la persona equivocada, y esto lo llamamos "seguro". En otras ocasiones, hay un problema, como una interrupción y una entrada en su hogar, o tal vez una violación de datos en su computadora. En este caso, llamamos a esto un problema de seguridad.

El proceso de recuperación de una situación segura después de una violación implica el análisis de riesgos y la reparación de vulnerabilidades. Si estás interesado en una acción legal, entonces los forenses entran en juego. Reparar los huecos de seguridad es fundamentalmente diferente a obtener justicia, lo que implica la aplicación de la ley. La mayoría de los profesionales de la seguridad informática se centran en arreglar primero los agujeros de seguridad, y luego los forenses. Aunque, durante la fase de análisis de la vulnerabilidad, existe una cierta cantidad de análisis forense que se utiliza para descubrir la vulnerabilidad, pero por lo general no pasa la norma utilizada en un tribunal de justicia.

En términos de criptografía, seguro significa que no está roto . Y roto significa que hay un método para descifrar mejor que la fuerza bruta .

Y como sabes, la fuerza bruta es el método de desesperación en el que necesitas probar todas las claves posibles.